Информация по безопасности / 2020 / Информация о безопасности -- DSA-4633-1 curl

Рекомендация Debian по безопасности

DSA-4633-1 curl -- обновление безопасности

Дата сообщения:

22.02.2020

Затронутые пакеты:

curl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 929351, Ошибка 940009, Ошибка 940010.
В каталоге Mitre CVE: CVE-2019-5436, CVE-2019-5481, CVE-2019-5482.

Более подробная информация:

В cURL, библиотеке передачи URL, были обнаружены многочисленные уязвимости.

• CVE-2019-5436

  В коде получения данных по TFTP было обнаружено переполнение буфера, которое может позволить вызов отказа в обслуживании или выполнение произвольного кода. Данная уязвимость касается только предыдущего стабильного выпуска (stretch).

• CVE-2019-5481

  Томас Вегас обнаружил повторное освобождение памяти в коде FTP-KRB code, вызываемое вредоносным сервером, отправляющим слишком большой блок данных.

• CVE-2019-5482

  Томас Вегас обнаружил переполнение буфера, которое может быть вызвано использованием небольшого значения размера блока TFTP (значение не по умолчанию).

В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены в версии 7.52.1-5+deb9u10.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 7.64.0-4+deb10u1.

Рекомендуется обновить пакеты curl.

С подробным статусом поддержки безопасности curl можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/curl